2 points par GN⁺ 2024-08-18 | 1 commentaires | Partager sur WhatsApp
  • Alors que l’usage de la MFA augmente, Microsoft Authenticator peut écraser un compte existant à cause d’un nouveau compte TOTP ajouté via un code QR, ce qui peut verrouiller l’utilisateur
  • Le cœur du conflit tient à une conception qui n’utilise que le label pour distinguer les comptes, au lieu d’utiliser ensemble l’issuer et le label comme Google Authenticator, Okta et d’autres
  • Comme l’écrasement n’est pas immédiatement visible, l’utilisateur peut ne découvrir l’impossibilité d’accès que plusieurs semaines ou plusieurs mois plus tard, lorsqu’il essaie de revenir sur l’ancien compte
  • Les contournements consistent à utiliser une autre application d’authentification ou à saisir manuellement la Secret Key, mais cela reste peu pratique pour des utilisateurs ordinaires en environnement d’entreprise
  • Microsoft affirme qu’il s’agit d’un comportement intentionnel et qu’un message d’avertissement est affiché, puis a ensuite évoqué l’absence d’issuer chez certains émetteurs, sans aller plus loin qu’une éventuelle amélioration future

Comment le scan d’un QR peut écraser un compte MFA existant

  • Microsoft Authenticator peut écraser un compte existant portant le même nom d’utilisateur lorsqu’un nouveau compte est ajouté via scan de QR code
  • Comme le nom d’utilisateur est souvent une adresse e-mail, il est courant que plusieurs comptes MFA de services différents partagent le même label
  • Google Authenticator et la plupart des autres applications d’authentification utilisent aussi le nom de l’issuer — par exemple une banque ou un constructeur automobile — pour éviter les conflits
  • Microsoft Authenticator, lui, n’utilise pas l’issuer et identifie les comptes uniquement par le nom d’utilisateur
  • Après l’écrasement, des problèmes d’authentification peuvent survenir à la fois sur le nouveau compte créé et sur l’ancien compte écrasé

Un verrouillage difficile à diagnostiquer

  • Lorsqu’un verrouillage se produit, l’utilisateur peut croire à tort que le problème vient de l’entreprise qui fournit l’authentification plutôt que de Microsoft Authenticator
  • Les help desks d’entreprise peuvent donc perdre du temps à résoudre un problème qu’ils n’ont pas créé
  • Il est difficile de vérifier facilement quel compte a été écrasé
  • La disparition de l’ancien compte peut ne devenir visible qu’au moment où l’utilisateur essaie de l’utiliser à nouveau
    • Cela peut arriver plusieurs semaines ou plusieurs mois plus tard

Contournements et plaintes anciennes

  • Le contournement le plus simple est d’utiliser une autre application d’authentification à la place de Microsoft Authenticator
  • Il est aussi possible d’éviter le problème en saisissant manuellement la Secret Key au lieu d’utiliser le scan du QR code
  • Le problème ne semble pas affecter les comptes d’authentification liés à un compte Microsoft
  • CSO Online a retrouvé des plaintes sur ce sujet remontant jusqu’en 2020, et le problème semble exister depuis la sortie de Microsoft Authenticator en juin 2016
  • En 2020, un utilisateur avait mentionné le contournement consistant à saisir manuellement la Secret Key du fournisseur d’identité, mais cela n’aide guère l’utilisateur moyen en entreprise face à des chaînes aléatoires

Un écrasement reproduit sur le terrain

  • Le consultant IT australien Brett Randall a observé le problème lors d’une session de formation éditeur, où des participants scannaient des QR codes MFA avec Microsoft Authenticator et écrasaient des clés TOTP d’autres applications
  • Selon Randall, un QR code MFA produit une chaîne contenant plusieurs valeurs, et les autres applications combinent le label et l’issuer pour créer l’identifiant unique de cette clé
  • Microsoft Authenticator s’écarte de ce comportement standard et n’utilise que le label, généralement l’adresse e-mail
  • La dernière clé TOTP utilisant la même adresse e-mail peut écraser la précédente
  • Randall a déclaré qu’il était presque impossible d’amener Microsoft à reconnaître le problème et à agir

Réactions des professionnels de la sécurité et de l’IT

  • CSO Online a demandé à plusieurs spécialistes sécurité et IT de reproduire le problème, et tous y sont parvenus
  • Gary Longsine, fractional CTO chez IllumineX, y voit un défaut de conception et affirme qu’il ne recommanderait pas Microsoft Authenticator
  • Tim Erlin, VP produit chez Wallarm, explique qu’ajouter une deuxième entrée avec la même adresse e-mail provoque un conflit et qu’après écrasement il est impossible de savoir quel compte a été remplacé
  • Erlin estime que le problème est peut-être moins connu qu’il ne l’est réellement, car les utilisateurs peuvent ne pas en comprendre la cause
  • David Meltzer, chief product officer chez Netography, l’a reproduit lui-même et considère qu’il s’agit clairement d’un bug relativement simple à corriger pour Microsoft
  • Kimberly Samra, porte-parole de Google, a indiqué que Google Authenticator n’écrase pas les codes, et que c’est un choix explicite

Position de Microsoft et message d’avertissement

  • Microsoft a confirmé le problème, mais a déclaré qu’il ne s’agissait pas d’un bug, plutôt d’un comportement intentionnel
  • Dans une première réponse écrite, l’entreprise a expliqué que l’utilisateur reçoit un message de confirmation avant toute action susceptible d’écraser les paramètres du compte lors du scan d’un QR code
  • Le message affiché est : “This action will overwrite existing security information for your account. To prevent being locked out of your account, continue only if you initiated this action from a trusted source.”
  • Ce message indique à l’utilisateur de continuer s’il a lui-même initié l’action et si la source est digne de confiance
    • Dans le cas d’un service légitime comme une banque ou un hôtel, ces deux conditions sont généralement réunies lorsque l’utilisateur lance lui-même le scan du QR
    • En suivant cette instruction, l’écrasement du compte peut néanmoins se produire
  • La fenêtre d’avertissement n’offre aucun moyen d’éviter l’écrasement en dehors de l’abandon de la tentative d’authentification

Débat sur la responsabilité autour de l’absence d’issuer

  • Microsoft a ensuite fourni une deuxième réponse plus longue, expliquant que certains sites ou éditeurs n’incluent pas l’issuer — c’est-à-dire le nom du site ou du fournisseur d’identité — dans le label
  • S’il existe déjà un compte avec le même label, l’application peut tenter de l’écraser avec le nouveau compte TOTP scanné
  • Microsoft affirme que dans cette situation, l’utilisateur reçoit toujours un message de confirmation d’écrasement et peut choisir de continuer ou non
  • La phrase affirmant que l’entreprise « continue d’améliorer le produit et tiendra compte de cela dans de futures améliorations » est le seul élément laissant entendre une possible correction

Comparaison avec les autres applications d’authentification

  • Randall estime qu’il y a deux façons d’empêcher les utilisateurs finaux d’écraser par erreur des clés d’autres applications
    • Auditer les otpauth de toutes les applications et convaincre chaque entreprise de corriger ses implémentations erronées
    • Ou laisser Microsoft corriger le problème une bonne fois pour toutes pour éviter de s’en préoccuper ensuite
  • Randall dit avoir testé le même comportement de collision sur 14 autres applications d’authentification, sans retrouver le comportement de Microsoft Authenticator
  • Parmi les applications testées figuraient Google Authenticator, Okta Verify, Duo Mobile, LastPass Authenticator, 2FA Authenticator, Twilio Authy, Salesforce Authenticator, OneAuth, ForgeRock Authenticator, Authenticator 7, Authenticator App, Auth0 Guardian, OTP Auth et Authenticator 2FA Sentinel

1 commentaires

 
GN⁺ 2024-08-18
Avis sur Hacker News
  • Un petit exemple qui illustre très bien le gros problème de la sécurité sans utilisabilité
    Il suffit de penser aux absurdités que l’on subit au nom de la « sécurité » : changements périodiques forcés de mot de passe, règles de mot de passe délirantes, exigences non documentées qu’il faut découvrir par essais et erreurs, messages d’erreur complexes truffés de jargon sécurité, « questions secrètes » dont on ne se souvient pas de la réponse, etc.
    Et pourtant, la sécurité de ces systèmes eux-mêmes est un vrai gruyère. Les fuites de données et les expositions d’informations font l’actualité presque tous les jours, et je me demande souvent comment ils continuent à s’en tirer

    • Capital One a introduit à un moment donné des « noms d’utilisateur », ce qui a cassé la connexion par adresse e-mail, sans le documenter ni empêcher d’utiliser une adresse e-mail comme nom d’utilisateur
      Pendant des mois, à chaque connexion, je devais utiliser « retrouver mon compte », puis je remettais à chaque fois mon nom d’utilisateur sur mon adresse e-mail. C’était naturel : ça avait été mon identifiant de connexion pendant presque 10 ans
      La restriction interdisant @ ou . dans le nom d’utilisateur n’a jamais été appliquée avant la connexion, et il m’a finalement fallu des mois pour comprendre qu’il fallait le remplacer par autre chose
      À l’origine, le compte était chez ING Direct, puis Capital One 360, avant d’être complètement intégré au reste du bazar Capital One ; je pense que ce problème de nom d’utilisateur y était lié
    • J’en ai eu un bon exemple hier
      Site web : « Choisissez un mot de passe complexe d’au moins 8 caractères, avec des caractères spéciaux et des chiffres »
      J’ouvre mon gestionnaire de mots de passe et génère fièrement un mot de passe aléatoire de 128 caractères
      À la visite suivante, le site web : « Saisissez les 31e, 98e et 102e caractères de votre mot de passe »
      C’était un site britannique de prêt immobilier
      Maintenant que j’y pense, pour faire ça, cela veut dire qu’ils stockent le mot de passe en clair, ou au moins qu’ils le chiffrent au lieu de le hacher, de façon à pouvoir le déchiffrer à tout moment
    • Le schéma que je déteste le plus, c’est quand je découvre que j’ai un compte sur un site que je n’ai pas utilisé depuis longtemps, que je saisis le bon mot de passe généré algorithmiquement à partir de l’e-mail et de l’URL du site, et que ça échoue
      Je me dis que c’était peut-être un mot de passe généré avec une ancienne version de l’algorithme, je réessaie, et ça échoue encore. Je finis donc par cliquer sur la réinitialisation du mot de passe, je reçois l’e-mail, je clique sur le lien, puis je mets comme nouveau mot de passe celui généré par l’algorithme, et là : « ce caractère spécial n’est pas autorisé »
      Si, selon ma règle, je remplace ce caractère spécial par le caractère suivant, j’obtiens cette fois : « impossible de réinitialiser avec votre mot de passe actuel »
    • Le pire que j’aie vu jusqu’ici, c’est https://studentaid.gov/. Je ne voulais pas saisir de fausses informations, et je ne pouvais pas non plus dupliquer le compte pour revérifier les exigences
      De mémoire, il y avait « mots interdits », « interdiction de réutiliser les 24 derniers mots de passe », « certains caractères spéciaux exclus », « 5 questions de sécurité », et plusieurs autres exigences de mot de passe
      Personne ne sait si les réponses aux questions de sécurité sont sensibles à la casse
      Il y avait même une formule indiquant qu’il fallait certifier que les informations de création du compte étaient exactes et que l’on était bien la personne concernée, et que fournir des informations fausses ou trompeuses pouvait entraîner une amende, une peine de prison, ou les deux
    • La bonne nouvelle, c’est que les éléments listés sont reconnus comme de mauvaises idées à la fois par les utilisateurs finaux et par les personnes qui comprennent la sécurité. Malheureusement, la plupart des gens qui implémentent les politiques de sécurité n’appartiennent à aucune de ces catégories
      Avec au moins 4 mots de dictionnaire, on obtient une excellente sécurité de mot de passe, et on peut utiliser la même approche pour les réponses aux questions de sécurité. Il existe aussi beaucoup de gestionnaires de mots de passe gratuits ou payants, qui résolvent le problème d’avoir à mémoriser toutes les valeurs secrètes. C’est aussi pratique pour sauvegarder les secrets de l’authentification à deux facteurs
      Si un « message d’erreur complexe » correspond à une erreur que l’on attend de l’utilisateur qu’il corrige lui-même, on pourrait tout aussi bien renvoyer une erreur générique avec un ID unique et l’inviter à contacter le support. Les torrents de jargon sont agaçants, mais cela me semble moins être un problème propre à la sécurité qu’une incapacité humaine assez courante à expliquer les erreurs
      La plupart des organisations peuvent avoir une activité globalement prospère tout en ratant énormément de choses, et la sécurité en fait partie. Dans une organisation assez grande, il me semble difficile d’éviter que des personnes incompétentes fassent des choses incompétentes
  • Il y a plusieurs niveaux auxquels ça n’a aucun sens. Ça veut dire que Microsoft Authenticator stocke les entrées uniquement sur la base du libellé ? Il ne crée même pas une clé interne ou quelque chose du genre ?
    Et ensuite ils prétendent que le problème vient du fait que les sites web mettent l’émetteur dans le champ issuer, là où il est censé être, plutôt que dans le libellé ?
    Je me demande si quelqu’un chez Microsoft utilise réellement leur Authenticator. Sauf si quelque chose m’échappe, dès qu’on utilise une adresse e-mail sur un site, on ne peut plus l’ajouter sur un autre, donc ça semblerait inutilisable avec presque toutes les applications

    • Dans le même genre, Google, le géant de la recherche, a lancé Google Authenticator sur Android sans champ de recherche et continue volontairement à ne pas en ajouter malgré de nombreuses demandes de fonctionnalité
      Pourtant, la version iOS a un champ de recherche. Je ne comprends vraiment pas pourquoi
      Dans l’immense dépôt Piper, il doit bien déjà y avoir une bibliothèque de recherche locale qu’on pourrait intégrer en une seule changelist, mais ce n’est pas un grand modèle de langage, certes
    • D’après l’article, Microsoft ne voulait pas corriger le problème parce que c’est un produit gratuit qui ne génère pas de chiffre d’affaires
    • Si les employés de Microsoft utilisent leur Authenticator, j’imagine que c’est tout au plus pour leur compte professionnel, où Microsoft est le seul émetteur
      Et je pense que beaucoup de gens ne l’utilisent tout simplement pas
    • Il y a quelque chose qui ne colle pas ici. J’ai plusieurs comptes avec la même adresse e-mail, et j’ai comparé les codes de mon application TOTP de secours, Authenticator, avec les bons codes : ils correspondaient
      En revanche, j’ai trouvé un problème d’UI qui peut amener l’utilisateur à voir le mauvais code. Les codes des premiers comptes visibles à l’écran sont rafraîchis toutes les 30 secondes, mais ceux hors écran ne le sont pas
      Si l’on fait défiler pour faire apparaître un code hors écran, on voit un ancien code, et dans un cas il affichait un code en retard de 4 rotations par rapport au bon
    • Ils l’utilisent probablement seulement pour le compte professionnel MS imposé par l’entreprise. Pas ailleurs, à mon avis, puisqu’ils savent que ce n’est pas terrible
  • Curieusement, j’ai reçu de Microsoft un e-mail qui ressemblait à du phishing, sans en être vraiment
    Il disait : « Action requise : activez l’authentification multifacteur pour votre locataire avant le 15 octobre 2024 », et indiquait que je le recevais en tant qu’« administrateur global », avec seulement un UUID, sans nom d’organisation
    Le message expliquait qu’à partir du 15 octobre 2024, la MFA serait nécessaire pour se connecter au portail Azure, au centre d’administration Microsoft Entra et au centre d’administration Intune, et qu’il fallait donc l’activer avant cette date. À défaut, il fallait demander un report de la date d’application
    Le problème, c’est que je ne gère aucune organisation chez Microsoft. Je n’ai que des choses comme un compte personnel Office365 Family, et l’authentification en deux étapes est déjà configurée sur mon compte
    L’e-mail ne contenait ni mon nom ni le nom supposé de l’organisation, seulement un ID, donc je ne comprends absolument pas de quoi il s’agit. Cela dit, l’e-mail vient bien de Microsoft

    • En vous connectant au portail Azure, vous devriez voir un message similaire et pouvoir accéder aux ressources concernées
  • Après avoir créé des comptes Gmail, j’en ai perdu quelques-uns en changeant de pays et d’ordinateur. Quand j’ai essayé de me connecter, Google disait que le mot de passe était correct, mais que l’appareil et l’IP n’étaient pas familiers
    Je ne me souviens plus exactement pourquoi la récupération via l’adresse de secours n’a pas fonctionné, mais elle a échoué alors que j’avais toujours accès à cette adresse. Google m’a probablement demandé quelle était l’adresse e-mail de récupération, et j’avais peut-être utilisé un suffixe + aléatoire pour cette adresse
    Avant, j’utilisais Google Authenticator pour mes comptes Gmail, mais je l’ai désactivé par crainte d’ajouter un point de défaillance supplémentaire, dans une situation où Google n’offre pas vraiment de recours
    Le mot de passe a environ plus de 96 bits d’entropie : je tire 256 bits depuis /dev/urandom, j’en fais un entier multiprécision, puis avec divmod je choisis un caractère dans chacune des catégories chiffres, minuscules, majuscules et symboles ; le reste est tiré dans l’alphabet complet, puis j’utilise l’entropie restante pour faire un mélange de Fisher-Yates, afin que le premier caractère ne soit pas toujours un chiffre
    Ce sont des mots de passe propres à chaque site, stockés dans un gestionnaire de mots de passe basé sur gpg que j’ai écrit moi-même au début des années 2000
    L’authentification multifacteur aide contre certaines compromissions actives en cours, mais pas contre les dumps de hachages de mots de passe dus à une fuite de base de données. C’est vraiment pénible de ne pas pouvoir récupérer un compte via l’adresse e-mail de secours alors qu’on connaît le mot de passe
    Si je ne me suis connecté nulle part pendant plusieurs mois et que j’ai le bon mot de passe, il faudrait au moins envoyer un lien ou un code de vérification à l’adresse de secours, au lieu d’exiger que je la donne. Il n’est pas nécessaire de dire où le message est envoyé, mais transformer l’adresse de secours en un autre mot de passe à mémoriser est vraiment agaçant

    • Je ne savais pas ça. Pour aggraver encore le risque, j’avais défini comme adresse de secours un autre compte Gmail dormant
      Je ne fais plus confiance à Google au-delà des données que je leur ai déjà données et de celles que je suis obligé de leur fournir
      Comme un déménagement international est prévu, je dois accélérer la migration de ma vie e-mail vers Proton Mail, un compte payant que je suis en train de tester, avant qu’un gros problème ne survienne
      À l’époque où Gmail semblait innocent, quand l’administration en ligne a commencé, j’ai commencé à donner Gmail comme contact pour les impôts, la santé, les organismes publics, etc. Comme cela fonctionnait bien, au fil de plusieurs déménagements internationaux, Gmail est devenu un outil administratif important
      J’ai aussi des comptes dormants un peu partout, mais avec des choses importantes qui pourraient un jour être nécessaires. Par exemple des autorisations de voyage australiennes valables plusieurs années
      Même après l’accélération de la surveillance de masse, Gmail paraissait assez inoffensif, et il y avait peu de vrais secrets ou d’éléments profondément personnels, hormis le fait que j’étais en relation avec tel ou tel organisme
      Mais maintenant que l’administration en ligne est pratiquement obligatoire, et que les autres moyens sont réduits au minimum, Gmail occupe une place beaucoup trop centrale pour être confortable. J’ai dû commencer à migrer à cause des choses inquiétantes que des bots automatisés peuvent faire à des utilisateurs innocents, sans clémence ni possibilité d’appel
      C’est tellement répandu qu’il me manque du temps pour tout retrouver, et les comptes oubliés obligent à exhumer des souvenirs flous, ce qui est une torture. Mais il faut le faire
      Je ne veux pas que mes filles jumelles, quand elles auront l’âge d’avoir besoin d’e-mails pour des démarches officielles, soient livrées à la merci des bots de Google
    • Lorsque vous avez ajouté l’e-mail de récupération, vous avez probablement reçu un message de notification sur ce compte. En retrouvant ce message dans la boîte de réception, vous pourriez peut-être identifier le suffixe aléatoire dans le champ to
    • Il m’est arrivé quelque chose de similaire. J’ai été ajouté au domaine Google d’un projet open source et j’ai reçu une adresse e-mail, mais Google exige un numéro de téléphone, donc je ne peux pas me connecter
      Je pourrais sans doute demander à l’administrateur de réinitialiser le compte, mais c’est assez désagréable de voir un compte pratiquement pris en otage jusqu’à ce qu’on fournisse des informations personnelles
    • Le fait qu’il n’y ait personne à qui parler fait que, si l’ordinateur dit non, c’est terminé
  • J’utilisais celui de Microsoft à cause de mon compte professionnel. Comme je suis de toute façon profondément intégré à Office365, je n’avais aucune raison de ne pas l’utiliser
    Je n’ai jamais vu ce genre de boîte de dialogue, et je n’ai pas eu de problème avec les comptes ajoutés. Comme c’est un compte pro, dans 99 % des cas je partage mon adresse e-mail d’entreprise comme nom de compte
    Est-ce que ça veut dire que j’ai eu de la chance parce que les sites que j’utilisais fournissaient des libellés suffisamment uniques ? J’ai l’impression de ne pas comprendre complètement où est exactement le problème

    • Je voulais utiliser une clé matérielle comme second facteur d’authentification, mais tous les systèmes ne la prennent pas en charge, et quand ils le font ce n’est pas toujours correctement. Quand on vous dit que le nombre maximal de clés enregistrables est de 1, on se demande vraiment à quoi ils jouent
      Au final, le temps passe, et ce n’est pas ce qui fait vivre ma famille : c’est juste une corvée consistant à chercher par tous les moyens comment réussir à se connecter. J’ai donc décidé d’utiliser la solution MS imposée par mon ancien employeur
      J’ai déjà perdu beaucoup trop de temps à bricoler ce genre de choses pour utiliser des comptes en ligne, au lieu de faire quelque chose d’utile
      Toute la vérification d’identité en ligne est gravement peu fiable, pleine de trous énormes et de risques encore plus grands, et nous construisons toute notre vie là-dessus
      Pendant des décennies, les faiblesses des mots de passe ont causé de sérieux dégâts, mais nous continuons à les utiliser, en essayant de rafistoler le tout avec des pansements et un coup de peinture
      Presque chaque semaine, un système en ligne laisse fuiter des masses de données personnelles faciles à exploiter, et nous restons là à dire « tout va bien, tout va bien », comme le mème du chien qui boit son café au milieu d’une pièce en feu
      On nous dit qu’en utilisant un mot de passe différent d’au moins 8 caractères pour chaque système, on sera en sécurité, et nous croyons que tout ira bien
    • Ce bug semble ne se produire que lorsqu’on scanne un code QR dans l’app iOS
    • Pareil pour moi. J’ai trois comptes personnels qui utilisent la même adresse e-mail, dont deux chez des FAANG, et ça fonctionne sans problème depuis presque 10 ans
    • Quand on lit la réponse de Microsoft, Microsoft reproche aux entreprises qui émettent les MFA de « ne pas mettre l’émetteur dans le libellé ». MSFT s’attend à ce que l’émetteur y figure
      Si c’est ce qu’ils attendent, les produits Microsoft mettent probablement eux-mêmes l’émetteur dans le libellé, donc il n’y a pas de problème
      Le problème survient quand on utilise d’autres fournisseurs qui emploient la même adresse e-mail comme identifiant, tout en mettant l’émetteur dans le champ issuer, qui est justement prévu pour stocker l’émetteur. Comme si c’était une fantaisie étrange
  • Safari a eu un bug similaire : il écrasait les passkeys sans aucun avertissement, ce qui pouvait vous verrouiller complètement hors de votre compte. Il a été corrigé depuis, mais c’est à cause de ça que j’ai perdu l’accès à GitHub
    https://bugs.webkit.org/show_bug.cgi?id=270553
    Safari a encore un bug qui l’empêche de distinguer des sites web hébergés sur différents sous-domaines autrement que via des exceptions codées en dur, et il écrase le mot de passe d’un sous-domaine avec celui d’un autre. Ça m’arrive tous les mois

    • L’une des raisons qui m’ont poussé à utiliser un gestionnaire de mots de passe tiers, où l’on peut ajouter manuellement plusieurs sites à une même entrée, c’est que Keychain m’avertissait que des sous-domaines StackOverflow et StackExchange réutilisaient des mots de passe
      Mais je ne savais pas que cette absurdité allait aussi loin
  • C’est exactement pour ça que l’authentification multifactorielle par SMS reste populaire auprès des utilisateurs malgré ses failles de sécurité
    En général, c’est suffisamment correct tant qu’on n’est pas la cible d’une attaque par SIM swap. La plupart des gens ne sont pas ciblés, mais ils ont en revanche une probabilité assez élevée de perdre leur clé d’authentification multifacteur

    • Exact. C’est simple, et presque tout le monde comprend. Comme le mot de passe lui-même
      C’est aussi pour cette raison que des méthodes plus sûres comme YubiKey ne se sont pas diffusées auprès du grand public. C’est contraignant et déroutant
    • Je l’ai activée deux fois. La première, mon téléphone est complètement tombé en panne juste après l’activation ; la seconde, il a été volé
      Maintenant, je me contente de m’appuyer sur des mots de passe générés aléatoirement
    • Je pense que la voie à suivre, ce sont FIDO et des cartes-clés NFC très bon marché
      Quand on doit se connecter quelque part, on sort la carte de son portefeuille et on la présente à son téléphone ou à son ordinateur portable
      Pour une entreprise avec des clients payants, cela devrait être assez peu coûteux pour qu’il soit plus rationnel d’envoyer physiquement une carte par courrier quand le client n’en a pas, plutôt que de prendre en charge des méthodes d’authentification alternatives
      Pour la plupart des services, il n’est peut-être même pas nécessaire d’avoir une deuxième couche d’authentification. Même si quelqu’un vole votre portefeuille, va-t-il vraiment se soucier de votre compte Reddit ?
  • J’ai testé, et je n’ai constaté aucun conflit entre plusieurs comptes utilisant le même nom de compte/la même adresse e-mail
    Chaque entrée affiche aussi correctement l’icône de l’émetteur, et l’émetteur est enregistré dans chaque entrée
    J’utilise MS Authenticator depuis des années et je n’ai jamais rencontré ce type de problème, alors que j’utilise évidemment toujours la même adresse e-mail comme nom de compte ou nom d’utilisateur
    Je ne fais que rapporter le résultat de mon test. Je doute que cela change mon opinion sur Authenticator ou Microsoft

    • Je me demande sur quelle plateforme. J’ai entendu dire que ce problème, ou cette « fonctionnalité », était limité à la version iOS
  • Cela m’est aussi arrivé quand j’ai mis à jour MS Authenticator après ne pas l’avoir fait pendant un moment
    Toutes les données ont été effacées, et je me suis retrouvé verrouillé hors de tous mes comptes. MS Authenticator n’est pas un produit conçu avec soin

  • Il y a environ un an, quelque chose de similaire m’est arrivé quand l’app Google Authenticator s’est mise à jour automatiquement vers une nouvelle version
    Pendant la mise à jour, j’ai perdu tous mes comptes, et j’en ai clairement tiré quelques leçons

    • À cause de ce cauchemar, je sauvegarde toujours les codes QR MFA, et je les ajoute aussi à une app open source qui me permet de sauvegarder ces données ailleurs